En esta guía, se proporciona información para obtener y administrar una organización independiente en Google Cloud.
El recurso de organización actúa como el nodo raíz de tu jerarquía de recursos de Google Cloud. En la mayoría de los casos, para crear una organización, debes ser administrador avanzado de Cloud Identity y conectar la organización a un dominio de DNS. Google Cloud
Con las organizaciones independientes, no necesitas Cloud Identity. Cuando te registras en Google Cloud y proporcionas una dirección de correo electrónico de Google, se crea automáticamente la organización independiente. Como propietario de la cuenta, también obtienes el rol de propietario de la organización. Luego, puedes usar la página Detalles de la organización para administrar el acceso de propiedad de otros usuarios.
Las organizaciones independientes ofrecen los siguientes beneficios:
- Capacidad de agregar usuarios con identidades federadas como propietarios de la organización
- Capacidad para admitir varias organizaciones que prueban diferentes funciones
- Capacidad de admitir varios propietarios de la organización para evitar puntos únicos de falla si un empleado se va
En la siguiente tabla, se describen las diferencias entre una organización de Cloud Identity y una organización independiente.
| Función | Organización de Cloud Identity | Organización independiente |
|---|---|---|
| Fundamental | ||
| Requiere Cloud Identity | Sí | No |
| Registrarse | ||
| Identidades requeridas para registrarse | 2 | 1 |
| Requiere verificación de dominio o DNS | Sí | No |
| Propiedad | ||
| Propiedad irrevocable del administrador avanzado | Sí | No |
| Cloud Identity como propietario de la organización | Sí | Sí |
| Identidades federadas como propietario de la organización | No es posible | Sí |
| Cuenta de Google como propietario de la organización | No es posible | Sí |
| Lifecycle | ||
| Cambiar el propietario de la organización | No es posible | Sí |
| Borrar organización | No está aislado | Sí |
| Restablece una organización borrada | No es posible | Sí |
| Cambiar el nombre visible | No es posible | Sí |
| Administración | ||
| Define políticas de límite de acceso de las principales (PAB) para restringir a los usuarios | Sí | Sí |
Antes de comenzar
Antes de comenzar, revisa lo siguiente:
- Comprende el recurso de organización.
- Obtén información para decidir una jerarquía de recursos para tu zona de destino de Google Cloud .
Identifica tu organización
Tu organización independiente se identifica con un nombre y un ID de organización.
Nombre de la organización
El nombre de organización predeterminado se crea combinando el nombre de usuario con -org.
Los caracteres especiales del nombre de usuario se reemplazan por un guion. Por ejemplo, si el nombre de usuario es lara_brown, el nombre de la organización será lara-brown-org.
Este nombre no se usa en ninguna API de Google. Puedes editar el nombre de la organización en cualquier momento después de crearla.
Asegúrate de que los nombres cumplan con los siguientes criterios:
- Contener solo letras, números o guiones
- No uses un nombre de dominio. Los nombres de dominio están reservados solo para las organizaciones de Cloud Identity y Google Workspace.
- No deben contener palabras comunes, como "Google Cloud".
ID de la organización
El ID de la organización es un identificador único a nivel global para tu organización. La consola deGoogle Cloud genera este número para diferenciar tu organización de todas las demás en Google Cloud. Los IDs de organización tienen el formato de números enteros y no pueden tener ceros a la izquierda.
No incluyas información sensible, como información de identificación personal (PII) ni datos de seguridad en el nombre de tu organización ni en otros nombres de recursos. El ID de organización se usa en el nombre de muchos otros Google Cloud recursos. Cualquier referencia a la organización o a los recursos relacionados expone el ID de la organización y el nombre del recurso.
Obtén un recurso de organización independiente
Las organizaciones independientes están disponibles para todos los clientes Google Cloud nuevos. Después de crear tu cuenta de Google Cloud , se creará automáticamente el recurso de tu organización. Esto ocurre cuando accedes a la consola de Google Cloud y aceptas las condiciones. Las organizaciones independientes no están disponibles para las cuentas deGoogle Cloud existentes.
Solo se crea una organización por cuenta de usuario. Sin embargo, puedes invitar a un solo usuario para que sea propietario y administrador de varias organizaciones.
Cuando se crea el recurso de organización, el sistema asigna los siguientes roles al propietario de la cuenta:
roles/cloudowner.admin(propietario de la organización)roles/resourcemanager.organizationAdmin(administrador de la organización)
Si quieres obtener información para agregar más propietarios y administradores a tu organización, consulta Cómo configurar tu organización independiente.
Obtén el ID de tu organización
Para obtener el ID de tu organización independiente, puedes usar la consola de Google Cloud , Google Cloud CLI o la API de Resource Manager.
Console
En la consola de Google Cloud , ve a la página Mis organizaciones.
En la tabla, se enumeran tus organizaciones y sus IDs.
gcloud
Para encontrar el ID del recurso de tu organización, ejecuta el siguiente comando:
gcloud organizations list
Este comando enumera todos los recursos de organización a los que perteneces y sus IDs correspondientes.
API
Para encontrar el ID del recurso de tu organización con la API de Cloud Resource Manager, usa el método organizations.search(), que incluye una búsqueda de tu dominio. Por ejemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La respuesta contiene los metadatos del recurso de la organización que pertenece a altostrat.com, lo que incluye el ID del recurso de la organización.
Configura tu organización independiente
Cuando creas una cuenta de Google Cloud , obtienes automáticamente un recurso de organización independiente. En esta sección, aprenderás sobre la configuración inicial, los roles esenciales y cómo administrar estos permisos dentro de tu organización.
El creador de la cuenta es el primer usuario con acceso al recurso de la organización. Otros usuarios de la organización pueden ver el recurso, pero solo pueden modificarlo después de que se configuren los permisos adecuados.
El propietario y el administrador de la organización son roles clave para configurar y controlar el ciclo de vida del recurso de la organización. Por lo general, estos dos roles se asignan a diferentes usuarios o grupos, según la estructura y las necesidades de tu organización.
Responsabilidades del propietario de la organización
El rol de propietario de la organización te permite realizar las siguientes acciones:
- Asignar el rol de administrador de la organización a otros usuarios
- Ser el punto de contacto en caso de problemas de recuperación
- Controlar el ciclo de vida del recurso de organización independiente, como se explica en Cómo borrar, restablecer y cambiar el nombre de organizaciones independientes
Los propietarios de la organización pueden ser personas o principales dentro de un grupo de trabajadores. Cada organización independiente siempre debe tener al menos una Cuenta de Google activa como propietario de la organización. No se pueden invitar cuentas de servicio para que se conviertan en propietarias de la organización.
Responsabilidades del administrador de la organización
El rol de administrador de la organización te permite realizar las siguientes acciones:
- Define políticas de permiso y denegación.
- Otorga roles de Identity and Access Management a otros usuarios en Google Cloud.
- Consulta la jerarquía de recursos.
De acuerdo con el principio de privilegio mínimo, este rol te impide realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un administrador de la organización debe asignarle roles adicionales a tu cuenta.
Otorga el rol de propietario de la organización a personas físicas
- Accede a la consola de Google Cloud como propietario de la organización.
En la consola de Google Cloud , ve a la página Detalles de la organización.
En Organization Owner, haz clic en Add organization Owner.
Ingresa la dirección de correo electrónico del principal que deseas agregar como propietario. El sistema envía un correo electrónico a la principal para invitarla a convertirse en propietaria de la organización. El director debe aceptar la invitación en un plazo de 30 días para convertirse en propietario de la organización.
Otorga el rol de propietario de la organización a los usuarios de un grupo de identidades de personal
En este paso, se supone que ya configuraste la federación de identidades de personal para tu organización. Además, asegúrate de que los Contactos esenciales estén configurados en tu cuenta.
- Accede a la consola de Google Cloud como propietario de la organización.
En la consola de Google Cloud , ve a la página Detalles de la organización.
En Organization Owner, haz clic en Add organization Owner.
Ingresa el identificador principal del usuario en el formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Haz clic en Siguiente.
Ingresa la dirección de correo electrónico a la que se enviará el vínculo de invitación del propietario. Google Cloud envía un correo electrónico al usuario para invitarlo a convertirse en propietario de la organización. Para convertirse en propietario de la organización, el usuario debe aceptar la invitación en un plazo de 30 días. Cuando el usuario acepta la invitación, se le otorga automáticamente el rol de administrador de la organización.
Cómo quitar un propietario de la organización
Para quitar usuarios con el rol de propietario de la organización, sigue estos pasos:
- Accede a la consola de Google Cloud como propietario de la organización.
En la consola de Google Cloud , ve a la página Detalles de la organización.
En Propietarios de la organización, selecciona el principal que deseas quitar.
En la última columna de la tabla, en Acciones, haz clic en Más acciones junto al principal.
En el cuadro de diálogo que aparece, haz clic en Quitar.
Cómo quitar un administrador de la organización
Para quitar usuarios con el rol de administrador de la organización, sigue estos pasos:
En la consola de Google Cloud , ve a la página IAM.
En IAM Allow, ve a View by principals.
Ubica la fila que contiene la principal a la que le otorgaste roles y haz clic en Editar principal en esa fila.
En el panel Editar permisos, haz clic en el ícono de borrar junto al rol de administrador de la organización.
Haz clic en Guardar.